Microsoft опубликовала бюллетени безопасности, описывающие три уязвимости в продуктах Azure. Две из них затрагивают платформу Azure Stack Edge (периферийное устройство для обработки данных на границе сети), одна - службу Azure Kubernetes Service (управляемый сервис контейнерной оркестрации). Самой опасной признана уязвимость CVE-2026-47643 с оценкой 9.8 по шкале CVSS, что соответствует критическому уровню угрозы.
Суть обнаруженных проблем
Уязвимость CVE-2026-47643 - это неконтролируемое внешними источниками имя файла или пути в Azure Stack Edge. Неавторизованный злоумышленник может удалённо выполнить произвольный код без какой‑либо аутентификации. Вектор атаки: сетевой, сложность низкая, привилегии не требуются. В случае эксплуатации злоумышленник получает полный контроль над устройством. Уязвимость затрагивает все версии Azure Stack Edge от 2.2.0 до 3.3.2604.3097.
Вторая проблема CVE-2026-32193 связана с Azure Kubernetes Service. Здесь обнаружено неправильное ограничение пути к каталогу (path traversal). Авторизованный злоумышленник может локально выполнить код. Оценка CVSS - 8.8 (высокая). Вектор атаки локальный, сложность низкая, требуется наличие учётной записи. Уязвимы версии AKS с 1.0 до v0.20260213.5.
Третья уязвимость CVE-2026-41098 - межсайтовый скриптинг (XSS) в Azure Stack Edge. Авторизованный злоумышленник может осуществить спуфинг (подмену данных) через сеть. Оценка CVSS - 8.4 (высокая). Для атаки требуется аутентификация пользователя с высокими привилегиями, но в случае успеха возможна подмена контента и последующий перехват учётных данных.
Почему эти уязвимости важны
Azure Stack Edge - это пограничные устройства с возможностью обработки данных с помощью ИИ и машинного обучения. Они применяются в промышленности, логистике, здравоохранении и других критических инфраструктурах. Критическая уязвимость CVE-2026-47643, не требующая аутентификации, позволяет злоумышленнику удалённо захватить управление таким устройством без каких‑либо ограничений. Последствия могут включать потерю конфиденциальных данных, нарушение производственных процессов или использование устройства в качестве точки входа в корпоративную сеть.
В свою очередь, уязвимость в Azure Kubernetes Service затрагивает управляемый кластер Kubernetes, который используется компаниями для развёртывания контейнерных приложений. Хотя для атаки требуется авторизация, локальный вектор эксплуатации может быть использован в сценариях, когда злоумышленник уже имеет доступ к внутренней сети или учётную запись с ограниченными правами. Path traversal позволяет обойти политики безопасности и выполнить код с повышенными привилегиями, что может привести к компрометации всего кластера.
Уязвимость XSS в Azure Stack Edge хоть и оценивается ниже по степени опасности, представляет риск для административных интерфейсов устройства. Спуфинг может быть использован для перенаправления пользователя на вредоносный сайт или внедрения подложных данных, что в конечном итоге тоже ведёт к потере доверия и потенциальным утечкам.
Технические детали эксплуатации
Для CVE-2026-47643 характерна ошибка типа CWE-73: внешний контроль имени файла или пути. Злоумышленник отправляет вредоносный запрос, в котором указывает путь к файлу, находящемуся за пределами разрешённой директории. Система не проверяет ввод должным образом, позволяя выполнить скрипт или бинарный файл, переданный в теле запроса. Критический уровень подтверждается максимальными показателями влияния на конфиденциальность, целостность и доступность.
CVE-2026-32193 относится к CWE-22 - path traversal. Авторизованный пользователь через веб-интерфейс или API может указать путь, содержащий символы ".." для выхода за пределы корневого каталога службы. Это позволяет прочитать, записать или выполнить произвольные файлы на узле.
CVE-2026-41098 - классическая XSS-уязвимость (CWE-79). Ввод пользователя не нейтрализуется перед отображением на веб-странице административной панели Azure Stack Edge. Привлекая администратора перейти по специальной ссылке, злоумышленник может выполнить JavaScript в его контексте, подменить содержимое страницы и, например, украсть сессионные куки.
Резюме и рекомендации
Microsoft уже выпустила исправления для всех трёх уязвимостей. Для Azure Kubernetes Service обновление до версии v0.20260213.5 устраняет проблему path traversal. Для Azure Stack Edge необходимо обновить прошивку до версии 3.3.2604.3097. Вендор рекомендует выполнить обновление как можно скорее, особенно для устройств, подключённых к интернету.
Организациям, использующим эти продукты, следует незамедлительно принять меры. Промедление с установкой патчей повышает риск удалённой компрометации без аутентификации, что особенно критично для Azure Stack Edge. Администраторам также стоит проверить логи на предмет подозрительной активности, связанной с path traversal или XSS. Учитывая высокую степень опасности CVE-2026-47643, эксплуатация этой уязвимости может привести к полной утрате контроля над устройством и последующему распространению атаки в корпоративную сеть.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32193
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41098
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47643
